كشفت شركة الأمن السيبراني السلوفاكية ESET عن مجموعة تهديد سيبراني جديدة غير موثقة سابقًا، متحالفة مع الصين، أُطلق عليها اسم LongNosedGoblin، تورطت في سلسلة هجمات إلكترونية استهدفت جهات حكومية في جنوب شرق آسيا واليابان، ضمن حملات منظمة غايتها النهائية التجسس السيبراني.
وبحسب التقرير، فإن نشاط هذه المجموعة يعود إلى ما لا يقل عن سبتمبر 2023، حيث اعتمدت على تقنيات متقدمة تُمكنها من الانتشار داخل الشبكات المخترقة دون إثارة الانتباه، مستفيدة من أدوات إدارية مشروعة وخدمات سحابية شائعة.
استغلال Group Policy والخدمات السحابية
أوضحت ESET أن مجموعة LongNosedGoblin استخدمت سياسات المجموعة في أنظمة Windows (Group Policy) كآلية مركزية لنشر البرمجيات الخبيثة عبر الشبكات المخترقة، وهو أسلوب يمنح المهاجمين قدرة واسعة على التحكم والانتشار الأفقي داخل بيئات المؤسسات.
كما لجأت المجموعة إلى توظيف خدمات التخزين السحابي مثل Microsoft OneDrive وGoogle Drive، ولاحقًا Yandex Disk، بوصفها خوادم للتحكم والسيطرة (C&C)، في محاولة للتمويه والاختباء داخل حركة مرور تبدو شرعية، ما يصعّب عمليات الرصد والاكتشاف.
ترسانة أدوات مخصصة بلغة .NET
تميّزت الهجمات باستخدام مجموعة أدوات مخصصة، تعتمد في معظمها على تطبيقات مكتوبة بلغة C#/.NET، من أبرزها:
-
NosyHistorian: أداة لجمع سجل التصفح من متصفحات Chrome وEdge وFirefox.
-
NosyDoor: باب خلفي يستخدم OneDrive كخادم تحكم، ويمكّن من تسريب الملفات، حذفها، وتنفيذ أوامر النظام.
-
NosyStealer: مخصص لاستخراج بيانات المتصفح من Chrome وEdge ورفعها إلى Google Drive ضمن أرشيف TAR مشفّر.
-
NosyDownloader: لتحميل وتشغيل الحمولات الخبيثة مباشرة في الذاكرة، مثل NosyLogger.
-
NosyLogger: أداة لتسجيل ضغطات المفاتيح، مبنية على نسخة معدّلة من DuckSharp.
استهداف انتقائي وسلاسل تنفيذ مقيدة
أفادت ESET بأنها رصدت أولى مؤشرات هذا النشاط في فبراير 2024 داخل نظام تابع لجهة حكومية في جنوب شرق آسيا، حيث تبيّن لاحقًا أن Group Policy استُخدمت لنشر البرمجيات الخبيثة على عدة أنظمة داخل الجهة نفسها، بينما لا تزال وسائل الوصول الأولي غير معروفة.
وكشفت التحليلات أن أداة NosyHistorian انتشرت على نطاق أوسع بين يناير ومارس 2024، في حين أصيبت شريحة محدودة فقط بباب NosyDoor الخلفي، ما يعكس نهجًا انتقائيًا عالي الدقة. وفي بعض الحالات، احتوت أدوات الإسقاط على ما وصفته ESET بـ”حواجز تنفيذ” تحدّ من عمل البرمجية على أجهزة ضحايا محددين فقط، باستخدام تقنيات مثل AppDomainManager injection.
تشابهات غامضة وإشارات إلى مشاركة البرمجيات
إلى جانب الأدوات الرئيسية، استخدمت المجموعة وكيل SOCKS5 عكسي، وأداة لتسجيل الصوت والصورة عبر كاميرا الجهاز، إضافة إلى مُحمّل Cobalt Strike. وأشارت ESET إلى وجود تقاطعات محدودة في الأسلوب مع مجموعات معروفة مثل ToddyCat وErudite Mogwai، دون وجود أدلة قاطعة على ارتباط مباشر.
غير أن التشابه بين NosyDoor وبرمجية LuckyStrike Agent، إلى جانب ظهور عبارة Paid Version في مسار PDB الخاص بـLuckyStrike، يفتح الباب أمام احتمال بيع أو ترخيص هذه البرمجيات لمجموعات تهديد أخرى متحالفة مع الصين، وهو ما تعزز برصد نسخة أخرى من NosyDoor استهدفت منظمة داخل إحدى دول الاتحاد الأوروبي باستخدام تكتيكات مختلفة.
